Российский программист обнаружил уязвимость, позволяющую удалить любой ролик с YouTube, но удержался от искушения
3 апреля 2015 года
22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе, пишет TJ (Архивная копия от 6 мая 2015 на Wayback Machine). Подробности этой истории он описал в своем блоге.
Как рассказал Хисматуллин, некоторое время назад, он получил от Google письмо с приглашением принять участие в программе под названием Vulnerability Research Grants. В рамках этой программы компания выплачивает специалистам в области информационной безопасности небольшой аванс (Хисматуллин получил 1337 долларов) в расчете на то, что они изучат продукты Google на предмет наличия уязвимостей. В случае обнаружения ошибки в том или ином продукте эксперт получает основное вознаграждение.
Хисматуллин решил изучить приложение YouTube Creator Studio, предназначенное для владельцев каналов на YouTube. При помощи этого приложения можно управлять загруженными видео, отвечать на комментарии и анализировать статистику.
Как написал программист, всего через пару часов работы у него были готовы два отчета для Google. Так, в системе видеотрансляций Хисматуллин нашел логическую ошибку, которая позволяла удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии.
Обнаружив эту уязвимость, программист записал демонстрационное видео. Из ролика следует, что у него получилось удалить видеоролик со своего канала без авторизации.
Хисматуллин не уточнил, какая информация содержалась во втором отчете. Он также отметил, что вся работа отняла у него примерно шесть-семь часов. При этом два часа он потратил на борьбу с желанием удалить все записи с канала известного музыканта Джастина Бибера.
Когда Хисматуллин отправил отчет о найденной уязвимости в Google, в США было раннее утро. Тем не менее ответ пришел очень быстро, поскольку обнаруженный баг представлял серьезную опасность.
В результате уязвимость была устранена, и компания выплатила российскому эксперту премию в размере пяти тысяч долларов. Один из комментаторов в блоге Хисматуллина счел эту сумму более чем скромной. Хисматуллин признал его правоту и отметил, что рассчитывал получить 15-20 тысяч и даже хотел подать в Google жалобу. Однако изучив правила программы Vulnerability Research Grants, пришел к выводу, что компания перечислила ему максимально возможную награду.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.